status: Rename query-booted to is-default

This is a tool to check if we are booted as default or not, just a
rename before it becomes widely used. We also shortened the '-h' output
for this.

Signed-off-by: Eric Curtin <ecurtin@redhat.com>

Merge pull request #3134 from ericcurtin/query-boot-real

status: Introduce tool to quickly check if we are booted as default

Merge pull request #3133 from cgwalters/boot-complete-rollback

systemd/ostree-boot-complete: Start earlier

status: Fix --skip-signatures description

It was a copy-paste of another description, rather than it's own.

Signed-off-by: Eric Curtin <ecurtin@redhat.com>

man: Add ostree admin status man page CLI options.

Document the various CLI options.

Signed-off-by: Eric Curtin <ecurtin@redhat.com>

status: Introduce tool to quickly check if we are booted as default

Generally in ostree based systems you would expect to boot into
deployment 0, in rollback conditions triggered by greenboot-related
rollbacks this might not be the case. This is a tool to detect this.

Signed-off-by: Eric Curtin <ecurtin@redhat.com>

Merge pull request #3132 from ericcurtin/query-boot

status: Fix build without GPGME

systemd/ostree-boot-complete: Start earlier

Prep for changing this service to perform state computations
such as "is this boot the default, or did we get rolled back"
that can be used by higher level tools.

systemd/ostree-boot-complete: Add `ConditionKernelCommandLine=ostree`

In practice we don't enable this unit except via our generator,
but let's do this on general principle.

status: Fix build without GPGME

If OSTREE_DISABLE_GPGME is not built in set remote to NULL.

The ostree_repo_signature_verify_commit_data path is irrelevant in the
no gpg case anyway. Having this set as NULL ensures an error gets
thrown early.

Signed-off-by: Eric Curtin <ecurtin@redhat.com>

Merge pull request #3131 from cgwalters/status-use-remote

status: Pass correct remote name when verifying

Merge pull request #3130 from jlebon/pr/autoprune-aarch64-dtb

lib/deploy: Round to block size in early prune space check

status: Add an option to skip signature verification

Since it's really expensive in some cases.

status: Pass correct remote name when verifying

The default `ostree admin status` tries to do signature
verification, but doesn't error out if that fails.

However, an extremely longstanding bug here is that we passed
the "osname" aka stateroot instead of the remote name.  This
happens to work for e.g. Fedora Silverblue today, where they
are the same.  It doesn't work on FCOS (remote = fedora, stateroot = fedora-coreos).

lib/deploy: Add safety margin in early prune space check

There are a few things the estimator doesn't account for, e.g. writing
the new BLS entries. Rather than trying to perfect it (since I think we
should change approach entirely -- see previous commit message), just
add a 1M margin to the space check.

lib/deploy: Round to block size in early prune space check

When we estimate how much space a new bootcsum dir will use, we
weren't accounting for the space overhead from files not using the
last filesystem block completely. This doesn't matter much if counting
a few files, but e.g. on FCOS aarch64, we include lots of small
devicetree blobs in the bootfs. That loss can add up to enough for the
`fallocate()` check to pass but copying still hitting `ENOSPC` later on.

I think a better fix here is to change approach entirely and instead
refactor `install_deployment_kernel()` so that we can call just the
copying bits of it as part of the early prune logic. We'll get a more
accurate assessment and it's not lost work since we won't need to
recopy later on. Also this would not require having to keep in sync the
estimator and the install bits.

That said, this is blocking FCOS releases, so I went with a more tactical
fix for now.

Fixes: https://github.com/coreos/fedora-coreos-tracker/issues/1637

Merge pull request #3129 from cgwalters/fix-unlock-composefs-compat

prepare-root: Fix composefs + ostree admin unlock --hotfix compat

Merge pull request #3128 from cgwalters/hotfix-composefs

switchroot: use shared constant for unlock --hotfix

switchroot: use shared constant for unlock --hotfix

So it's easier to link the two bits of code.

prepare-root: Fix composefs + ostree admin unlock --hotfix compat

There's a test case for `ostree admin unlock --hotfix` that
runs in FCOS, not here; it breaks when enabling composefs.

The reason is because the composefs is mounted readonly, and
we tried to remount it writable.  Instead of trying to remount
the rootfs writable at this point forcibly, honor the
*real* sysroot readonly state flag from the underlying FS before
we mounted the composefs.

Note that in FCOS derivatives we always have the root mounted
writable via `rw` on the kernel cmdline and this is the default
general expectation now with ostree usage.

Merge pull request #3127 from cgwalters/composefs-doc-toplevel-chattr

docs/composefs: Add note about toplevel dirs

Merge pull request #3119 from cgwalters/zipl-fix-nul-term

zipl: A few fixes

docs/composefs: Add note about toplevel dirs

Just thinking about trying to land this, I think some people
may hit this one.

Merge pull request #3125 from ericcurtin/explicit-sysroot-rw-ro-log

switchroot: Be explicit about what could cause /sysroot to be ro

switchroot: Be explicit about what could cause /sysroot to be ro

If you don't have rw in the kernel cmdline or have ro in it, often you
hit this issue. This is just to be really explicit about that in the
error messages so people can check.

Signed-off-by: Eric Curtin <ecurtin@redhat.com>

Merge pull request #3124 from cgwalters/rust-features

rust: Add missing feature versions

Merge pull request #3123 from cgwalters/deploy-log-space

deploy: Log calculated needed space

deploy: Log calculated needed space

To aid debugging issues like https://github.com/coreos/fedora-coreos-tracker/issues/1637

If we're hitting this path where we think we have enough space,
let's log what we calculated here to aid in diagnosing why we
may later fail with ENOSPC.

rust: Add missing feature versions

- We missed 2022_2, which specifically includes
  https://docs.rs/ostree/latest/ostree/static.PATH_BOOTED.html
  and I was really confused why that was missing
- Add more recent upstream versions too

Merge pull request #3121 from fwilhe/patch-1

Link to gardenlinux/ostree-image-builder in README

Link to gardenlinux/ostree-image-builder in README

This repo is the outcome of a PoC on how an existing
debian-based distro could be adapted to be used with OSTree.

Merge pull request #3116 from jmarrero/bootloader-doc

doc: Add section about ostree and bootloaders

zipl: Convert to a data input stream

This high level reader API avoids all the bugs that were
found in previous patches.

zipl: NUL terminate buffer we're searching

Found by a static analyzer.

zipl: Fix error handling for read

The return value is not errno.

zipl: Use O_CLOEXEC

On general principle.

doc: Add section about ostree and bootloaders

Merge pull request #3117 from cgwalters/doc-root-transient

Doc root transient

docs: Add `var.md`

This one overlaps a bit with some other sections...the docs
need a bigger rework, but this is better than we had before.

man: Document `root.transient`

This one warrants some explanation.

Merge pull request #3114 from cgwalters/root-ovl

prepare-root: Add support for root.transient

prepare-root: Add support for root.transient

Closes: https://github.com/ostreedev/ostree/issues/3113
It'd greatly improve compatibility with things like RPMs that install
in `/opt` if we supported a full "original docker" style model where
`/` is a transient overlayfs.  We'd still keep our semantics for `/etc`
and `/var` by default, but e.g. we'd stop recommending
`/opt` :arrow_right: `/var/opt`, in this model,
so `/opt` would be on the overlayfs.

Note this all aligns with composefs, where we'd actually be making
`/` a *read-only* overlayfs by default; it'd be really nice of course
to *implement* this by just making the composefs overlayfs writable,
but I am not sure we can hard require composefs for this right now.

So this change adds support for `root.transient = true`
in `/usr/lib/ostree/prepare-root.conf`.

The major downside is that people could be surprised if files they
write to e.g. `/opt` don't persist across upgrades.  But, that's
already again how it works since Docker started.

Note as part of the implementation of this, we need to add a whole
new "backing" directory distinct from the deployment directories.

(Tangentially related to this, it's tempting to switch to always
 using a *read-only* overlay mount by default.

prepare-root: Add an autofree

This doesn't matter at all, but I just noticed this while working
on the code.

sysroot: Drop unused prototype

This function doesn't exist anymore.

Merge pull request #3112 from leonheldattoradex/main

Update Torizon information

Update Torizon information

TorizonCore became Torizon OS and Torizon OTA is now Torizon Cloud.

Signed-off-by: Leonardo Held <leonardo.held@toradex.com>

Merge pull request #3111 from cgwalters/release

Release 2023.8

configure: post-release version bump

Release 2023.8

Merge pull request #3106 from cgwalters/commit-reflink

commit: Try reflinks for local commits by default

commit: Try reflinks for local commits by default

I think we originally used to do this, but at some point in a
code refactoring, this optimization got lost.

It's a quite important optimization for the case of writing content
generated by an external system into an ostree repository.

Merge pull request #3105 from cgwalters/sysroot-borrow-fd

sysroot: Add a method to borrow sysroot fd

Merge pull request #3107 from cgwalters/drop-userxattr-test

tests: Drop bare-user on tmpfs negative test

tests: Drop bare-user on tmpfs negative test

As of https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=2daf18a7884dc03d5164ab9c7dc3f2ea70638469
the restriction is lifted, FINALLY.

Merge pull request #3104 from cgwalters/s390x-target

bootloader/zipl: Run in target deployment as container if needed

bootloader/zipl: Run in target deployment as container if needed

xref https://issues.redhat.com/browse/MGMT-16303

Basically the OCP Assisted installer has now grown code
to try to do OS updates offline post-install, and this means
we need to handle the case of running zipl from the target
root.

sysroot: Expose deployment runner outside of selinux

We will use it in e.g. s390x zipl backend.

Merge pull request #3103 from cgwalters/tmpfiles-factory-var

tmpfiles: Copy `/usr/share/factory/var` to `/var`

sysroot: Add a method to borrow sysroot fd

For the same reason we have this method on `Repo`.

sysroot: Support specifying bwrap arguments

Prep for use with zipl.

sysroot: Expose deployment container executor internally

Prep for using this for zipl.

tmpfiles: Copy `/usr/share/factory/var` to `/var`

This is a pattern we want to encourage.  It's honestly just
way simpler than what rpm-ostree is doing today in auto-synthesizing
individual tmpfiles.d snippets.

Merge pull request #3102 from cgwalters/deploy-cleanup-run

sysroot/deploy: Drop unnecessary g_ptr_array_free

We can just reference the pdata, and autoptr the array.

deploy: Use NULL terminated strv

This makes the code simpler and avoids the need
to keep the string array and length in sync.  Prep for
further callers.

Merge pull request #3100 from cgwalters/misc-finalization

tests: Add a dedicated finalization test

This one covers `admin lock-finalization --unlock`.

Merge pull request #3101 from cgwalters/drop-redundant-includes

main: Drop some redundant includes of `ot-main.h`

main: Drop some redundant includes of `ot-main.h`

When backporting a patch recently we hit a non-obvious
dependency on another fix for `ot-main.h` includes.  Clean
this up a bit by dropping the redundant includes.

man: Two finalization fixes

From PR review.

Merge pull request #3090 from cgwalters/stabilize-locking

sysroot: Stabilize deployment finalization, add API

sysroot: Stabilize deployment finalization, add API and CLI

It's about time we do this; deployment finalization locking
is a useful feature.  An absolutely key thing here is that
we've slowly been moving towards the deployments as the primary
"source of truth".

Specifically in bootc for example, we will GC container images
not referenced by a deployment.

This is then neecessary to support a "pull but don't apply automatically" model.

This stabilizes the existing `ostree admin deploy --lock-finalization`
CLI, and adds a new `ostree admin unlock-finalization`.

We still check the old lock file path, but there's a new boolean
value as part of the staged deployment data which is intended
to be the source of truth in the future.  At some point then we
can drop the rpm-ostree lockfile handling.

Closes: https://github.com/ostreedev/ostree/issues/3025

status: Add error prefix for gpg verification

It's helpful to see which deployment has an error.

tests: Turn off gpg verification for dev builds

Right now `ostree admin status` errors out in this case, but
`rpm-ostree status` doesn't.  The former behavior is probably
more of a bug, work around it for now.

Merge pull request #3099 from markmc/man-sysroot-readonly

man: improve sysroot.readonly docs

man: improve sysroot.readonly docs

The explanation of sysroot.readonly is a little confusing - we say
that "everything else is mounted read-only" but it's perhaps clearer
to say /sysroot is mounted read-only.

Also note that read-only is the default with composefs.

Finally, document the option in ostree.repo-config even though it is
now considered legacy - as of commit 22b8e4f9 (#2930) - it is still
commonly seen in repo configs, so users will look to understand
what it means.

Merge pull request #3098 from jlebon/pr/abort-concurrent

ci: cancel previous build on PR update

This is an easy way to save CI resources; when a PR is updated, abort
any previous build for that PR to focus on testing the latest push.

Merge pull request #3097 from cgwalters/symbol-cleanups

Symbol cleanups

lib: Don't hardcode year in sample symver section

The 2021 was misleading.

devel: Fix symbol versioning number

The .11 was wrong.

Merge pull request #3095 from alexlarsson/fix-post-copy-symlinks

Fix admin post-copy handling of symlinks

Fix admin post-copy handling of symlinks

The code to enable fs-verity on an object file was failing with ENOENT
for symlink objects.

Merge pull request #3094 from alexlarsson/admin-deploy-post-copy

Add `ostree admin post-copy` command

Add `ostree admin post-copy` command

This command will apply fs-verity on all objects that need it and
needs to be called when an ostree deployment has been copied on a
file-by-file basis, which would loose information such as fs-verity.

This is needed by osbuild which works by creating the final image in a
rootfs, and then separately copying that rootfs file-by-file to a
loopback mounted filesystem image.

Merge pull request #3091 from cgwalters/fix-soup3

build-sys: Enable libsoup3 by default if installed

unlock: Don't pass options again to overlayfs

There seems to be a tricky regression here with the util-linux
support for the new mount API, plus overlays support for it.

```
[2023-11-09T21:05:30.633Z] Nov 09 21:05:26 qemu0 kola-runext-unlock-transient.sh[2108]: + unshare -m -- /bin/sh -c 'mount -o remount,rw /usr && echo hello from transient unlock >/usr/share/writable-usr-test'
[2023-11-09T21:05:30.633Z] Nov 09 21:05:26 qemu0 kola-runext-unlock-transient.sh[2148]: mount: /usr: mount point not mounted or bad option.
[2023-11-09T21:05:30.633Z] Nov 09 21:05:26 qemu0 kola-runext-unlock-transient.sh[2148]:        dmesg(1) may have more information after failed mount system call.
```

OK this seems related to the new mount API support in util-linux and overlayfs.  From a strace:

```
2095  open_tree(AT_FDCWD, "/usr", OPEN_TREE_CLOEXEC) = 3
2095  mount_setattr(-1, NULL, 0, NULL, 0) = -1 EINVAL (Invalid argument)
...
2095  fspick(3, "", FSPICK_NO_AUTOMOUNT|FSPICK_EMPTY_PATH) = 4
2095  fsconfig(4, FSCONFIG_SET_FLAG, "seclabel", NULL, 0) = 0
2095  fsconfig(4, FSCONFIG_SET_STRING, "lowerdir", "usr", 0) = -1 EINVAL (Invalid argument)
```

I think the core problem here is it's trying to reconfigure the mount with existing options,
but in the new mount namespace we can't see the lowerdir.

Here we really really just want to remount writable.  Telling
util-linux to not pass existing options fixes it.

Merge pull request #3093 from cgwalters/rust-alias-stateroot

rust: Add a `stateroot()` alias in the Rust bindings

tests: Work around systemd regression for boot id parsing

cc https://github.com/systemd/systemd/issues/29275

rust: Add a `stateroot()` alias in the Rust bindings

Easy to do here, super annoying in C.

build-sys: Enable libsoup3 by default if installed

In f39 we switched to libsoup3 by default; this ensures our CI
picks that up automatically so we still have ostree-trivial-httpd.

Merge pull request #3089 from cgwalters/fix-undeploy-parsing

undeploy: Parse integer more properly

undeploy: Parse integer more properly

`atoi` doesn't offer any error checking.

Closes: https://github.com/ostreedev/ostree/issues/3088

Merge pull request #3080 from nikita-dubrovskii/s390x_secure_boot

lib/bootloader-zipl: Check for Secure Boot before zipl

lib/bootloader-zipl: Check for Secure Boot before zipl

Merge pull request #3085 from cgwalters/s390x-units

bootloader/zipl: No-op if run as non-root

Closes: https://github.com/ostreedev/ostree/issues/3084
Not the most elegant fix but should get the job done.

Merge pull request #3083 from cgwalters/release

Release 2023.7

configure: post-release version bump

Release 2023.7